Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Il Runner: un componente chiave della campagna ransomware SamSam
- GIOVEDÌ 8 FEBBRAIO 2018



SamSam
è un ransomware a noi già noto, ne aveva parlato in un post dello scorso Gennaio, quando aveva colpito diversi uffici pubblici come l'Hancock Health Hospital di Greenfield e la municipalità di Farmington. Nel frattempo il ransomware si è evoluto ed è stata sviluppata una nuova variante. La principale differenza tra la vecchia e la nuova versione è l'utilizzo dell'eseguibile "runner.exe", che decripta il file di estensione ".stubbin" ed esegue il contenuto decriptato. Il risultato della decodifica è un file ransomware SamSam.

La Fig.1 mostra la catena di attacco dell'attuale campagna di SamSam.

Fig 1. Catena di attacco del ransomware SamSam

La tecnica di distribuzione rende il 'Runner' un componente chiave della campagna di disffusione di SamSam. Tuttavia, non siamo a conoscenza della fonte di infezione per "runner.exe". 

Il Runner
Negli ultimi mesi abbiamo visto diverse varianti di "runner.exe" . In ognuna di queste, varia il numero di parametri trasmessi a "runner.exe". Il primo parametro viene utilizzato come password per decriptare il file ".stubbin" e i parametri rimanenti vengono trasmessi per decriptare il payload che è il ransomware SamSam.

Fig. 2. Sequenza di esecuzione del runner

Diamo un'occhiata ai dettagli dell'eseguibile compilato in .NET (runner.exe) della variante con tre parametri della command line..

Fig 3. Codice della sequenza di esecuzione

'Runner.exe' cerca i file con l'estensione '.stubbin' nella sua directory. Il primo file trovato è il file criptato desiderato. Copia quindi il contenuto del file in una matrice (arg_4E_0) ed elimina il file originale ".stubbin". L'array di byte crittografati e il primo parametro della command line (password) vengono trasmessi alla funzione 'Decrypt'. Il Runner carica quindi i byte decriptati nella memoria e li esegue passando i restanti parametri della command line come input.

Decriptazione del file ".stubbin"
"Runner.exe" utilizza l'algoritmo Rijndael per decodificare i byte trasmessi come dati criptati. Questo è un algoritmo crittografico a chiave simmetrica: in questo caso utilizza una chiave da 32 byte e 16 byte di Initialization Vector (IV) per decodificare il file ".stubbin".

Fig 4 .IV e generazione di chiavi

La classe 'PasswordDeriveBytes' è usata per generare una chiave e l'IV. Si tratta di un costruttore .NET predefinito che accetta una password e salt come input per generare una chiave. Salt è un dato casuale utilizzato come input aggiuntivo a una funzione che "blocca" la password e per rendere non comune una password comune.

La Fig.5 mostra la routine di decodifica che decodifica il file ransomware SamSam.

Fig. 5. La routine di decodifica del file core .stubbin

Il costruttore "CryptoStream" e il decryptor Rijndael vengono utilizzati per operazioni crittografiche eseguite su CipherData. Utilizzando IV, la chiave dell'algoritmo di Rijndael sui dati Cipher comporterà il payload del ransomware.

Indicatori di compromissione
D8469E625AE90AB64D4AEF0B63F42150
7A25B0D43047552CBDAD17CFB488317D
038FB413F51B0AB7EB088E0F3EA7BE90
A82DB52BC6F1E5477EB1809CD5F23489


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

VENERDÌ 16 FEBBRAIO 2018
Quick Heal: report annuale 2018 sulle minacce informatiche. Ransomware e Exploit.
Il report annuale fornisce una panoramica dei rischi informatici più pericolosi e diffusi del 2017, per home user e aziende. Si divide in due sezioni, una per Windows e u...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e documentazione
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Versioni di prova
Supporto
Contratto EULA.
Download Upgrade


S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2018 nwk - Privacy Policy - Login